Ransomware Virlock verbreitet sich über Cloud-Storage

Die Ransomware verschlüsselt Dateien nicht nur, sie infiziert sie auch mit Schadcode. Davon sind auch Dateien betroffen, die Nutzer per Cloudspeicher mit anderen Anwendern teilen. Wird der Cloudspeicher mit einem lokalen System synchronisiert, gelangt die Malware sogar automatisch auf weitere Rechner.

Sicherheitsforscher von Netskope haben eine neue Variante der Ransomware Virlock entdeckt, die sich auch über Cloud-Storage und Collaborations-Anwendungen verbreitet. Vor allem in Unternehmen könnte so ein infizierter Nutzer ungewollt die Erpressungssoftware im gesamten Netzwerk verteilen. Die Forscher sprechen in dem Zusammenhang von einem Ausfächerungseffekt.

Virlock ist seit rund zwei Jahren im Umlauf und nimmt in der Kategorie Ransomware eine Sonderstellung ein, weil es Dateien nicht nur verschlüsselt, sondern auch mit Schadcode infiziert. Nutzer, die eine von Virlock verschlüsselte Datei öffnen, werden selbst mit der Malware infiziert, die dann deren Dateien verschlüsselt und ebenfalls mit Schadcode versieht.

Virlock gibt vor, das "Lösegeld" im Namen von US-Strafverfolgern einzutreiben (Bild: Netskope).Virlock gibt vor, das „Lösegeld“ im Namen von US-Strafverfolgern einzutreiben (Bild: Netskope).

Typischerweise gelange Virlock über einen USB-Stick oder eine externe Netzwerkfreigabe auf einen Rechner, heißt es in einem Blogeintrag des Sicherheitsanbieters. Die Malware generiere drei ausführbare Dateien, von denen zwei die Aufgabe hätten, andere Dateien zu infizierten. Zudem nimmt Virlock Anpassungen an der Registry vor, um eine manuelle Entfernung der Schadsoftware zu verhindern.

Von Virlock verschlüsselte und infizierte Dateien erhalten automatisch die Dateiendung „exe“. Erst danach blendet es seine Lösegeldforderung ein, die dem Nutzer im Namen von FBI und US-Justizministerium den Einsatz von raubkopierter Software vorwirft.

Neu ist nun, dass Virlock auch Nutzer infizieren kann, die gemeinsam an in der Cloud gespeicherten Dateien arbeiten. Als Beispiel nennt Netskope zwei Anwender, die Zugriff auf einen gemeinsamen Ordner eines Cloudspeichers haben, dessen Inhalt automatisch mit ihren Rechnern synchronisiert wird. Hat nun einer der Anwender Kontakt mit Virlock, werden seine lokalen Dateien infiziert und anschließend mit der Cloud synchronisiert. Klickt ein andere Anwender schließlich eine Datei in dem Ordner an, wird Virlock unter Umständen auch auf seinem System ausgeführt.

Das Lösegeld, das Virlock für die Freigabe der Dateien verlangt, beträgt 250 Dollar in Bitcoins. Die Netskope-Forscher raten Unternehmen, wichtige Cloud-Daten regelmäßig lokal zu sichern und auf Malware zu prüfen.

HIGHLIGHT

Open Telekom Cloud: Ressourcen auf Abruf

Von Capex zu Opex: Mit IT-Kapazitäten aus der Cloud statt von eigenen Servern verwandeln Unternehmen gerade verstärkt starre Investitionskosten in dynamische Ausgaben, die sich dem Geschäftsverlauf anpassen – und werden damit flexibler. Immer beliebter: Infrastructure-as-a-Service (IaaS) aus der Open Telekom Cloud.

[mit Material von Danny Palmer, ZDNet.com]

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Cloud-Computing, Collaboration, HPE / Intel Just Right IT, Malware, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Stefan Beiersmann
Autor: Stefan Beiersmann
Freier Mitarbeiter
Stefan Beiersmann
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen: